手工解除fail2ban封锁的IP地址

手工解除fail2ban封锁的IP地址

首先检查fail2ban的log文件,看是哪一个jail的规则触发了封锁,比如apache的规则。然后可以使用fail2ban-client确认该规则的封锁状态:

root@minisipserver:~$ fail2ban-client status apache
Status for the jail: apache
|- filter
|  |- File list:        /var/log/apache2/error.log
|  |- Currently failed: 0
|  `- Total failed:     21
`- action
   |- Currently banned: 1
   |  `- IP list:       184.15.66.88
   `- Total banned:     3

例如,示例中apache的规则封锁了“184.15.66.88”。接着使用以下命令解除对该IP地址的封锁:

fail2ban-client set apache unbanip 184.15.66.88
Debian 9中安装VirtualBox增强工具

Debian 9中安装VirtualBox增强工具

以前的Debian版本中自带有virtualbox-guest-dkms包,直接安装即可。然而Debian8(?9)后,不知道什么原因这个包不再包含在Debian的库中,因此需要手工编译安装。理论上来说,Debian团队没有必要移除这个包,估计可能是Oracle的政策变化导致的。

步骤稍微有些繁琐,主要参考网上一篇文档进行操作,请猛击此处阅读原文档。

首先是将Debian更新到最新的版本:

apt update
apt upgrade

然后安装编译dkms需要的若干工具和库:

apt install build-essential module-assistant dkms

开始准备编译内核模块:

m-a prepare

点击Vbox的菜单“设备 – 安装增强工具”,会在桌面上生成一个类似cdrom的图标,打开ta并进入terminal窗体,运行以下命令即可:

sh ./VBoxLinuxAdditions.run
巴菲特股东大会实录(2018)

巴菲特股东大会实录(2018)

点击此处访问新浪网的翻译。

今年巴老买了很多Apple的股票,是当作消费股来买,而不是视为科技股。作为一名科技领域的工作人员,从科技领域的角度看,我觉得巴老的决定可能也是错误的,就像他在IBM上犯的错误一样。当然,这需要时间去证明。

如何迁移系统?

如何迁移系统?

其实一直被这个问题困扰。家里有台旧笔记本,想换SSD硬盘,可是一想到要重装系统,再加上一堆的软件、配置等,实在是耗时耗力,就这么拖着。今天在知乎上看到一篇大牛的文章《如何安全快速的迁移你的系统到固态硬盘》,实在是太棒了!

粗略地阅读了这篇文章,写得非常详细清晰,更主要的是,推荐使用的工具软件也完全可以免费获得,而且还非常好用。以前也看到过类似的文章,不过为了一次迁移专门去购买一套ghost软件,似乎又下不了决心。这下好了,在忙完这段后,就可以再仔细考虑这件事了。

升级树莓派系统至 Stretch 版本

升级树莓派系统至 Stretch 版本

Pi 官方的Raspbian版本已经正式升级到 Stretch,即 Debian 9 系统。目前使用的还是 Jessie 版本, 根据官方的指导文档,进行升级,总体是比较平顺的,当然也有一些需要总结和修订。

在升级之前,首先要把源系统更新(update)、升级(upgrade)。

然后修改软件源文件,将 jessie 修改为 stretch,共有两个文件需要修改:

/etc/apt/sources.list
/etc/apt/sources.list.d/raspi.list

修改完成后,直接更新版本即可:

sudo apt-get update
sudo apt-get -y dist-upgrade

更新过程耗时比较长,耐心等待即可。需要注意的是,Stretch 版本中将 MySQL 替换为 MariaDB 了,因此如果是安装了MySQL, 需要重新安装 MariaDB。 好在替换过程似乎也很顺利,如果是深度使用MySQL,建议仔细检查这个替换。

升级完成后,音频库没有必要,可以删掉;另外有个字体库则需要单独安装以支持中文:

sudo apt-get -y purge "pulseaudio*"
sudo apt-get install fonts-droid-fallback

在体验最新版本的过程中,发现 xrdp 无法使用。需要卸载以前的版本,同时重新安装 VNC 软件。

sudo apt-get remove xrdp vnc4server tightvncserver
sudo apt-get purge tightvncserver xrdp
sudo apt-get install -y xrdp vnc4server tightvncserver

在用 Windows 的远程桌面登录时, 也要明确指示采用 Xvnc 而不是 Xorg 。以前的版本倒是没有这么麻烦,不知道是升级导致的问题,还是新版本就有这个问题。

升级后感觉明显快了很多,这有点意外,毕竟硬件没有改变,基础 Debian 系统在效率方面改变似乎也并不很大。

两起投诉

两起投诉

今天一大早就进行了两起投诉,响应很快,结果很满意。

投诉1:深圳电信光纤改造

在以前的一篇文章中吐槽了深圳电信的网络,后来恰逢深圳电信年末大优惠,再加上比较了其他两家运营商的宽带网络,最后还是选择了电信的光纤改造(费用理所当然地也上升了)。改造后的网络确实快了很多,而且一根光纤搞定上网、IPTV 和电话,实际上整个布线都比以前清爽了,这个还是可以给电信点个赞的!

然而发现了一个不太好的地方。光猫默认居然是一个内网地址!内网地址,能相信吗? 感觉深圳电信默认将光纤网用户划入一个大局域网。平时如果仅仅是上网就没有任何影响,但是像我这样需要和外部客户互相通信的情况,就会受影响,客户无法访问我的网络资源。以前ADSL没有这个问题,都是默认外网地址。

我个人感觉是因为电信的IPv4地址池可能比较紧张,因此采用了局域网方式组网。可以理解这是不得不为的困窘措施,未来如果广泛部署IPv6,就不会有地址问题。考虑到ADSL能给公网地址,难道我要退回去吗?实在太让人纠结了。 思考再三,于是拨打 10000 号电话进行投诉,说明了目前的情况以及需要外网地址的原因。

客服小妹的服务态度非常之好,转到相关技术处理人员后,非常干脆地就修改了配置,重启光猫之后获得了外网地址。给深圳电信的客服人员点赞!

投诉2: outlook系列服务器拒接邮件

这实际上是老问题了,有我们本身配置的问题,也有SPF设置方面的问题。修改了这些配置后,公司服务器向Gmail、Yahoo等邮箱发送email都没有遇到问题,唯独向outlook系列(包括hotmail等)服务器发邮件时,总是被拒接,原因也很简单,直接将我们的IP地址屏蔽了,信息如下:

Diagnostic-Code: smtp; 550 5.7.1 Unfortunately, messages from [xxx.xxx.xxx.xxx] weren't sent. Please contact your Internet service provider since part of their network is on our block list (AS3140).

我们是良民,没干什么坏事啊,怎么就拉黑了呢? 一怒之下,找到以下地址递交资料进行投诉:
https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3&ccsid=636554612673022658

很快收到了回复,outlook确认了相关信息,并承诺48小时之内将我们从名单中删除。

今天天气晴朗,阳光明媚!

清除Putty主机指纹

清除Putty主机指纹

最近修改了主机上的公钥,结果导致Putty无法登录到主机,仔细检查后发现Putty还在使用原有的主机指纹,因此删除原有的记录即可(Putty似乎可以改进一下,重新提示用户是否保存或者修改,不是更合理吗?)。

删除方法比较简单,直接打开注册表,找到以下目录:

HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\SshHostKeys

然后删除对应的主机记录即可。

企业VPN设置的注意事项

企业VPN设置的注意事项

公司建立了自己的VPN网络用于内部系统接入和管理,出于成本和部署简化的考虑,采用了相对比较简单的PPTP-VPN方案。服务端采用Debian 8系统,客户端就直接是windows和Linux自带的PPTP拨号软件。由于是私有的网络,因此在配置上可以尽量简化、统一,去掉一些没有必要的协商环节。

Debian服务端配置

服务端只保留一种协议(即MS-CHAP v2),同时强制要求MPPE-128bit加密(Microsoft Point-to-Point Encryption-微软点对点加密术)。在“/etc/ppp/pptpd-options”文件中,设置以下值即可:

refuse-pap
refuse-chap
refuse-mschap

require-mschap-v2
require-mppe-128

Windows客户端配置

以Windows自带的拨号网络配置为例。直接指定为“PPTP”的VPN类型,要求数据必须加密,同时协议部分只保留MS-CHAP v2即可。如下图所示。

Windows VPN拨号设置
Windows VPN 拨号设置

Linux客户端配置

与Windows客户端的配置基本一致,只是需要单独指示出MPPE-128bit加密方式,如下图所示。

Linux VPN 客户端配置
Linux VPN 客户端配置